为了防止会话固定攻击,我想在用户进行身份验证后生成一个新的会话ID。 到目前为止,我还没有找到任何方法可以使用Microsoft.AspNetCore.Session v2.2.0执行此操作。据我所知,非核心版本也不支持此功能。
是否有我错过的 API 或方法?
指向具有这些功能的其他中间件的指针也值得赞赏。
会话固定不适用于 ASP.NET 核心处理会话的方式。发送的 Cookie 不包含会话 ID:仅包含会话密钥。密钥是永久性的,旨在始终有效。服务器独立决定是否恢复现有会话或创建新会话(即会话 ID(。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium